Virksomheter som etablerer informasjonssystemer som behandler helse- og personopplysninger, skal legge alle relevante krav i Normen til grunn for å etablere og ivareta tilstrekkelige sikringstiltak. Ansvar for å sikre fjernaksess iht. Normen deles mellom virksomheten og leverandøren.
Virksomheten har ansvaret for at krav til informasjonssikkerhet og personvern følges gjennom hele leveransekjeden. Der leverandøren er databehandler, skal den tilrettelegge for at virksomheten (dataansvarlig) som tar i bruk leverandørens produkter og tjenester, kan oppfylle krav i lovverk og Normen.
Figur 1 nedenfor viser en forenklet skisse over krav i Normen, som eksplisitt omtaler og er styrende for fjernaksess mellom virksomhet og leverandør. Figuren viser samtidig til virksomhetens ansvar for å operasjonalisere kravene ved valg av leverandør samt etablering og oppfølging av avtalevilkår.
Figuren gir et oversiktsbilde, men viser ikke til alle relevante sammenhenger mellom krav i Normen som påvirker tjenesteleveranser for fjernaksess, og oppfølging av tjenestene mellom virksomhet og leverandør. I de neste kapitlene utdypes anbefalt tilnærming til etterlevelse av kravene.
I Vedlegg for veileder for fjernaksess er det en sjekkliste med oppgaver, som fordeles mellom virksomheten og leverandøren. Oppgavene baseres på og bør ses i sammenheng med beskrevne krav og anbefalinger i kapitlene kravene og anbefalingene peker til i veilederen.
Veileder for fjernaksess mellom virksomhet og leverandør.
Vedlegget kan utgjøre et startpunkt for nødvendige avtalekrav til fjernaksesstjenester, men listen bør vurderes i det enkelte tilfelle for å sikre at gjeldende krav i Normen etterleves.
Det er viktig å påpeke at fordeling av ansvar og oppgaver (i vedlegget) er veiledende, og det kan være behov eller ønskelig å delegere oppgaver annerledes.
Dette kan avhenge av ulike løsningsscenarioer, der f.eks. eierskap og drift av løsningen i sin helhet ivaretas av enten leverandøren eller virksomheten selv, eller at ansvaret er delt.
Virksomheten er, uavhengig av oppgavefordeling, ansvarlig for informasjonssikkerhet og personvern, og må sørge for at avtalen(e) er dekkende for å ivareta gjeldende krav og behov.
